Lectures for 2008 - KTH

More documents

Recommendations

Info

KURSKOMPENDIUM NÄTVERKSSÄKERHETSKURS ___________________________________________________________________________ pappersbrev till internationellt utvalda företagsledare eller personer som kunde antas ha förmögenheter. Breven kom från personer med högtidliga titlar, bar ofta färggranna logotyper och sigill samt innehöll imponerande avtryck från stämplar. I den digitala åldern ersattes de tidigare så påkostade utskicken som bara riktats mot ett fåtal med massutskick i form av e- post. Bedrägeriformen kom även att flytta utanför Nigerias men samlingsnamnet Nigeriabrev kvarstår. Typiskt för Nigeriabrev är att de innehåller ett budskap om att det är stora mängder pengar tillfälligt finns upplåsta på något bankkonto som den kontaktade medhjälparen kommer få stor del i utbyte mot en smärre administrativ avgift. Oftast är det blufflotterier eller annan typ av bedräglig verksamhet bakom. En tumregel är att aldrig svara på sådana brev eller på annat sätt inleda dialog med avsändaren. 2.7 Organisatoriska hot och risker Med organisatoriska hot menar vi hot som beror på felaktigheter inom den organisatoriska strukturen. 2.7.1 Oklara ansvarsförhållanden Ett vanligt problem är att det inte står helt klart vem som har ansvar för alla delar i en lösning, till exempel vem som skall fatta beslut vid akuta händelser, såsom ett intrång. Ibland saknas utpekad ansvarig, ibland ligger ansvaret på flera personer eller funktioner och det inte går att ta ett beslut utan att det får internpolitiska biverkningar. För att uppnå en god organisatorisk säkerhet bör man gå igenom beslutskedjor och viktiga funktioner och kontrollera att det finns namngivna ansvariga för dessa. Det är också viktigt att de som är utpekade känner till att de är utsedda som ansvariga. 2.7.2 Personrisker Det finns flera risker som har med personal att göra. Det kan bland annat handla om underbemanning, beroende av nyckelpersoner eller odokumenterad kunskap som bara finns hos enstaka personer i personalen. Underbemanning har länge varit ett problem på IT-området då det varit svårt att rekrytera och behålla personal. I lägen med underbemanning hamnar man ofta i lägen där den befintliga personalen blir överarbetad och utsliten på grund av hård belastning. Underbemanning innebär ofta också att mängder med arbete, inte minst säkerhets- och kvalitetsarbete, blir eftersatt då det inte kan anses prioriterat för att hålla igång det allra nödvändigaste – systemets grunddrift. Det är vanligt att man har enstaka tekniker som kan allt om ett system, en tillämpning eller en lösning. Om teknikern i det läget blir sjuk, åker på semester eller bestämmer sig för att sluta, så står man med ett system eller en tjänst som ingen längre förstår och inte heller kan underhålla. Nyckelpersonberoende bör avhjälpas genom att man utbildar fler personer, har god och uppdaterad dokumentation och har väl genomtänkta rutiner. 2.7.3 Organisationsförändringar Förändringar i organisation kan också innebära förändringar i säkerhetsnivån, införande av nya sårbarheter eller ökade risker. Några exempel på olika organisationsförändringar som kan påverka säkerheten är uppköp, företagssammanslagningar (fusioner), utförsäljning av delar eller hela verksamheter eller så kallad outsourcing av bolag, bolagsenheter eller funktioner. Copyright (c) 2003-2008 Robert Malmgren AB. All rights reserved Sid 46 (139)
KURSKOMPENDIUM NÄTVERKSSÄKERHETSKURS ___________________________________________________________________________ Sist men inte minst kan nedläggningar eller uppsägning av personal få stora konsekvenser med personer som känner sig svikna eller som har ett hämndbehär. På engelska kallas detta ofta för disgruntled employees. IT ger nya möjligheter att hämnas eller ställa till besvär. Vid omvälvande förändringar, som vid till exempel företagsförsäljning, uppköp eller nedläggning kan personal, företagspartners eller kunder få minskad lojalitet till företaget, eller till och med begå illojala eller kriminella handlingar som en missnöjesyttring. Därför är det viktigt att redan i planeringen inför organisationsförändringar göra riskbedömningar och vidta förberedande säkerhetsåtgärder. 2.8 Administrativa hot och risker 2.8.1 Okunskap om system och infrastruktur Ett allt vanligare problem är att ansvariga inte känner till hur information hanteras eller hur IT-infrastrukturen är uppbyggd. Ibland sätter de inblandade en ära i att inte ha kunskap om system och struktur. Detta innebär givetvis ett stort problem, därför att man kan fokusera fel eller skapa bristfälliga lösningar. Men det leder också till att man inte får ett övergripande säkerhetstänkande. Därmed riskerar man att lösningar som införs inte medger någon reell säkerhet. 2.8.2 Ojämna skyddsnivåer och felfokuserade lösningar Säkerhet och skyddsnivåer i en organisation är ofta ojämt fördelade. De säkerhetslösningar som införskaffas är ofta skapade efter enkla kriterier och enligt någon buffelhjordsmentalitet, där man tänker i precis samma banor som alla andra. Det blir därmed lätt att lägga allt krut på att säkra upp huvudentrén, vilket IT-mässigt ofta motsvaras av organisationens brandvägg, medan man isjälva verket glömmer de bakdörrar och andra vägar som leder in och ut ur nätverket. Det är minst lika viktigt att göra något åt den allmänna säkerheten på det interna nätverket, att skydda andra in- och utgångar, till exempel modem- och ISDN-pooler, hyrda förbindelser till andra företag eller hantera nya transmissionstekniker, exempelvis trådlösa nätverk. 2.8.3 Avtal, dokumentation, rutiner och policies saknas Dokumentation är ofta en förutsättning för att en organisation ska fungera bra. Nyckelpersonberoenden kan till exempel minskas genom dokumenterade rutiner och policies. Dessutom kan man minska risken att arbetet blir godtyckligt eller slarvigt utfört. Inte sällan blir policies och rutiner snabbt omoderna eftersom de inte underhålls eller uppdateras. Organisationer kan till exempel skapat en kontinuitetsplanering, där de dokument som beskriver planeringen är anpassade till äldre system och lösningar. Det kan vara storeller minidatorlösningar som kanske inte ens används längre inom organisationen. Andra viktiga dokument som ofta saknas är avtal med leverantörer, servicebyråer, konsultföretag och liknande. Dessa saknade avtal inkluderar bland annat sekretessavtal, underhållsavtal, licenser och rättigheter samt så kallade leveransåtaganden (eng. service level agreement, SLA). Avtal med anställda och användare är en till typ av avtal som borde upprättas men som ofta saknas, exempelvis ansvarsförbindelser (eng. Acceptable Use Policy, AUP), distansarbetsavtal och liknande. Copyright (c) 2003-2008 Robert Malmgren AB. All rights reserved Sid 47 (139)
Page 1 and 2: KURSKOMPENDIUM NÄTVERKSSÄKERHETSK
Page 45: KURSKOMPENDIUM NÄTVERKSSÄKERHETSK
Page 97 and 98:
KURSKOMPENDIUM NÄTVERKSSÄKERHETSK
Page 99 and 100:
Page 101 and 102:
Page 103 and 104:
Page 105 and 106:
Page 107 and 108:
Page 109 and 110:
Page 111 and 112:
Page 113 and 114:
Page 115 and 116:
Page 117 and 118:
Page 119 and 120:
Page 121 and 122:
Page 123 and 124:
Page 125 and 126:
Page 127 and 128:
Page 129 and 130:
Page 131 and 132:
Page 133 and 134:
Page 135 and 136:
Page 137 and 138:
Page 139:
show all

Lectures for 2008 - KTH

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?